WordPressサイトの乗っ取りは、いつ起こるかわからない脅威です。知らないうちに改ざんされ、ユーザーに不利益を与えているかもしれません。WordPressは世界中で広く利用されているCMSですが、その人気ゆえに悪意のある攻撃者から狙われやすい側面があります。
サイトが乗っ取られてしまうと、サイトの表示がおかしくなったり、検索順位が急落したり、閉鎖に追い込まれる事態にもなりかねません。
この記事では、WordPressが乗っ取りに遭う主な原因や具体的な手口、症状について詳しくご紹介します。復旧方法を知りたい方、日頃から実践できる対策を把握したい方も、ぜひ最後までお読みください。
目次
WordPressの乗っ取りとは
WordPressの乗っ取りとは、悪意のある第三者がWebサイトの管理権限を不正に奪い、サイトを自由に操作される状態を指します。攻撃者はサイトの脆弱性や管理の不備を突き、認証情報を盗み出すなどして、WordPressの管理画面に不正ログインするのが一般的です。
乗っ取られると、サイトの内容が改ざんされたり、悪質なプログラム(マルウェア)が埋め込まれたり、スパムメールの送信元として利用されたりするなど、さまざまな被害が発生します。
これにより、サイトの信頼性が失われるだけでなく、訪問者に被害が及ぶ可能性があります。
WordPressが乗っ取りに遭う原因
WordPressが乗っ取りに遭う原因は、大きく分けると3つあります。
それぞれ詳しく見ていきましょう。
脆弱性のあるテーマ・プラグインを使用している
WordPressサイトのセキュリティホールにつながる要因のひとつが、脆弱性のあるテーマやプラグインの使用です。
これらはWordPressの機能拡張やデザインのカスタマイズに欠かせませんが、開発元のセキュリティ対策が不十分であったり、既知の脆弱性が修正されないまま放置されていたりする場合があります。
攻撃者は、これらの脆弱性を悪用してサイトに侵入する傾向です。
特に公式ディレクトリ以外からダウンロードしたもの、長期にわたって更新されていないものは、リスクが高いと言えるでしょう。
ソフトウェアをアップデートしていない
乗っ取りはWordPress本体やテーマ、プラグインを最新の状態を維持していないことでも起こり得ます。
開発元は発見されたセキュリティ上の欠陥(脆弱性)を修正するために、定期的にアップデートをリリースします。しかし、ユーザーがこれを怠ると、脆弱性が未解決のまま残るため、攻撃者のターゲットになりやすいです。
古いバージョンのソフトウェアを使い続ける行為は、セキュリティ上のリスクを放置している行為に等しいです。不正アクセスを許す原因となる可能性が高いため、アップデートは常に行いましょう。
パスワードを特定される
WordPressのユーザー名やパスワードが簡単に特定される状態では、乗っ取りにつながるリスクがきわめて高いです。
安易なパスワード(例:123456、password)や、ユーザー名と同じパスワードを設定していると、総当たり攻撃や辞書攻撃などの手法で破られてしまいます。
また、複数のサイトで同じパスワードを使い回していると、どこかひとつのサイトから情報が漏洩した際に、サイト全体が危険に晒される危険性が増します。
推測されにくいパスワードを定期的に変更しない限り、不正ログインのリスクは常にあると考えるべきです。
WordPressの乗っ取り手口
WordPressの乗っ取り手口は、多岐にわたります。
- サイトの改ざん
- データの改ざん
- マルウェアの埋め込み
- 総当たり攻撃
- パスワードリスト攻撃
- クロスサイトスクリプティング
- クロスサイトリクエストフォージェリ
- フィッシング・ソーシャルエンジニアリング
- ゼロデイ攻撃
それぞれ詳しく解説します。
サイトの改ざん
WordPressの乗っ取り手口には、Webサイトのコンテンツやデザインを不正に変更する「改ざん」があります。
攻撃者は管理画面に侵入した後、以下のような行動を取ります。
- Webページの内容を書き換える
- 不要な広告を挿入する
- 悪質なリンクを埋め込む
これにより、サイトの信頼性が損なわれるだけでなく、訪問者が不正なサイトへ誘導される、ウイルスに感染するリスクが高くなります。
また、改ざんされたサイトは検索エンジンからの評価を落とすため、SEOにも悪影響を及ぼすでしょう。
データの改ざん
WordPressが乗っ取られると、データベースに保存されているユーザー情報や投稿内容などの「データの改ざん」が行われる可能性が高いです。これはサイトの表示内容だけでなく、重要なデータも書き換えられるリスクを意味します。
ECサイトなら顧客情報や購入履歴、会員サイトなら個人情報が不正に操作されたり盗まれたりする危険性があります。
データの改ざんは、サイト運営者とユーザー双方に深刻な被害をもたらし、法的な問題に発展するケースも珍しくありません。
裁判例を検索すると該当する判例が沢山見つかる
参照元:裁判例結果一覧|裁判所
このように、判例は数多く存在するので日頃のからの対策が必要です。
マルウェアの埋め込み
攻撃者がWordPressサイトを乗っ取る目的のひとつに、悪質なプログラムである「マルウェアの埋め込み」があります。
マルウェアは訪問者のコンピューターにウイルスを感染させたり、個人情報を盗み出したり、サイトをスパムメールの送信元として利用したりするために使われます。
サイトにマルウェアが埋め込まれると、検索エンジンから警告が表示される・ブラックリストに登録される可能性があり、サイトの信頼性が低下しやすいです。Googleは公式のChromeヘルプにて、次のようにアナウンスしています。
安全でないサイトについての警告表示を設定する
アクセスしようとしているサイトが安全でない場合、警告が表示されることがあります。たとえば、フィッシング サイトやマルウェアを配布しているサイトがこれに該当します。
ユーザーにとって脅威となるため、迅速に対応しなければいけません。
総当たり攻撃
総当たり攻撃はブルートフォースアタックとも呼ばれ、考えられるすべてのパスワードの組み合わせをひとつずつ試していくことで、不正ログインを試みる攻撃手法です。
シンプルで短いパスワードを設定している、辞書に載っているような単語をパスワードにしていると、ターゲットにされやすい傾向にあります。
また、非常に多くのログイン試行を行う特徴が見られるため、サーバーに大きな負荷をかけ、サイトの表示速度が低下したり、一時的にアクセスできなくなったりする原因にもなります。
パスワードリスト攻撃
パスワードリスト攻撃は、ユーザーが管理する他のWebサイトから流出したユーザー名とパスワードのリストを悪用し、WordPressサイトへの不正ログインを試みる手法です。
一度に大量のユーザー名とパスワードの組み合わせを試し、ログインに成功したサイトを乗っ取ります。
Webサイトユーザーの多くは、複数のサイトで同じパスワードを使い回している傾向です。
2024 年 9 月から 11 月の間に観測されたトラフィックに基づくと、Cloudflare によって保護されている Web サイト全体で成功したログインの約 41% に、以前のデータ侵害で漏洩した侵害されたパスワードが関係しています。
最近の調査によると、平均的なユーザーは少なくとも 4 つの異なるアカウントでパスワードを再利用しており、パスワードのリサイクルは永続的で危険な習慣となっています。 (直訳)
引用:41% of Success Logins Across Websites Involves Compromised Passwords
そのため、この手法は攻撃者からすると効果的といえます。
クロスサイトスクリプティング
クロスサイトスクリプティング(XSS)は、Webサイトに悪意のあるスクリプトを埋め込み、訪問者のブラウザ上でスクリプトを実行させる攻撃手法です。
攻撃が成功すると、攻撃者はユーザーのセッションクッキーを盗んだり、個人情報を抜き取ったり、他の不正なサイトへ誘導します。
WordPressのテーマやプラグインにクロスサイトスクリプティングの脆弱性があると、サイト全体が攻撃の対象となる可能性があるため注意が必要です。
クロスサイトリクエストフォージェリ
クロスサイトリクエストフォージェリ(CSRF)は、Webサイトの脆弱性を悪用し、ログイン済みのユーザーに意図しない操作(パスワード変更、記事削除など)を実行させる攻撃手法です。
ユーザーが正規サイトにログインしている状態で、悪意のあるサイトを閲覧すると、正規のサイトへ不正なリクエストが送信され、ユーザーの意図に反する操作が実行されてしまう可能性があります。
WordPressのフォームや管理機能で対策が不十分だと、サイトが危険に晒されるリスクが高まります。
フィッシング・ソーシャルエンジニアリング
フィッシングやソーシャルエンジニアリングは、WordPressの脆弱性を攻撃するのではなく、人の心理的な隙を突いて情報を盗み出す手口です。
フィッシングは偽のログインページやメールを作成し、ユーザー名やパスワードなどの認証情報をだまし取ろうとする行為です。ソーシャルエンジニアリングは巧みな話術やなりすましによって、パスワードなどの機密情報を聞き出そうとする行為です。
これらの手口はセキュリティ対策ソフトでは防ぎにくいため、ユーザー自身が注意する必要があります。
ゼロデイ攻撃
ゼロデイ攻撃とは、ソフトウェアの開発元がまだ認識していない、修正パッチが提供されていない未知の脆弱性(ゼロデイ脆弱性)を悪用して行われる攻撃です。
この攻撃は対策が間に合わないため、危険性が高いといえます。
WordPressや関連ソフトウェアにゼロデイ脆弱性が発見されると、修正がリリースされるまでの間、サイトが無防備な状態になる可能性があります。そのため、日頃からセキュリティ情報の収集と、信頼できるホスティングサービスの利用が必要です。
WordPressが乗っ取りに遭ったときの症状
WordPressが乗っ取りに遭ったときの症状は、以下のとおりです。
それぞれ詳しく見ていきましょう。
サイトが変わっている
WordPressサイトが乗っ取りに遭った際のわかりやすい症状のひとつが、サイトの見た目やコンテンツが予期せず変わっていることです。
- トップページが別の内容に書き換えられている
- 見慣れない広告が挿入されている
- 無関係なリンクが貼られている
このような現象が起こっている場合、サイトが改ざんされた可能性が高いです。
放置するとサイトの信頼性が失われるため、早期発見と修正が欠かせません。
サーバー会社から警告がくる
WordPressサイトがマルウェアに感染したり、不正アクセスを受けたりした場合、利用しているサーバー会社から警告や通知が届く場合があります。
サーバー会社は自社が提供するサーバー上で不正な活動を検知すると、原因となっているサイトの管理者へ連絡を行うのが一般的です。
さくらのレンタルサーバでは、不正ファイルが設置されると、すべてのファイルにアクセスができない措置が取られます。
参照元:不正アクセスに対する取り組み(さくらのレンタルサーバ)
サーバー会社からの警告は、サイトが乗っ取りに遭っている可能性を示すサインです。速やかに対応しないと、サイトが停止される場合もあるので注意してください。
スパム広告の表示
WordPressサイトが乗っ取られると、サイト内に意図しないスパム広告が大量に表示される場合があります。
これらは通常の広告とは異なり、違法な商品やサービスを宣伝したり、不審なサイトへ誘導したりするものです。
サイトの広告枠を不正に利用されたり、悪質なコードを埋め込まれたりするため、表示に気づいたらすぐに調査と削除を行いましょう。
トラフィックの減少
WordPressサイトが乗っ取りに遭うと、トラフィック(訪問者数)が急激に減少する可能性があります。
考えられる原因、以下のとおりです。
- サイトが改ざんされて検索エンジンからの評価が下がった
- マルウェア感染が原因で検索結果から除外された
- Webブラウザが警告を表示して訪問者がアクセスを避けるようになった
トラフィックの急激な減少は、サイトに何らかの異常が発生しているサインです。
別サイトへのリダイレクト
WordPressサイトの特定のページ、あるいはサイト全体が意図しない別のサイトへリダイレクトされる症状も、乗っ取りの典型的な手口です。
攻撃者はサイトのファイルやデータベースに不正なコードを埋め込み、訪問者を悪質サイトやフィッシングサイトへと誘導します。
サイトの表示内容には大きな変化がないように見えても、訪問者が危険な目に遭う可能性があります。
WordPressにログインできない
WordPressサイトが乗っ取られると、管理画面で設定していたユーザー名やパスワードでログインできなくなる場合があります。これは、攻撃者がログイン情報を変更してしまった可能性が高いです。
パスワードのリセット機能が利用できない場合、データベースが改ざんされている可能性も考えられるでしょう。
ログインができない状態は、サイトの管理権限を完全に奪われています。速やかに、サーバー側から対応を行わなければいけません。
WordPressの乗っ取りから復旧する方法
WordPressの乗っ取りから復旧する方法は、以下のとおりです。
それぞれ詳しく解説します。
パスワードの変更
WordPressサイトが乗っ取られた疑いがある場合、まずはすべてのパスワードを変更しましょう。特に、管理者アカウントのパスワードは、複雑で推測されにくいものに変更すべきです。
生成には、パスワードジェネレーターが適しています。
強度と文字の組み合わせ、文字数などを細かく設定すれば、特定されにくいパスワードを生成可能です。
攻撃者はすでにログイン情報を入手している可能性が高いため、これ以上の不正なアクセスを許さない対策が取らねばいけません。
FTPやデータベースのパスワードも同様に変更し、すべてのアクセス経路のセキュリティを強化してください。
ログインができない場合
WordPressの管理画面にログインができない場合は、まずパスワードリセットが可能か試してみてください。
ログイン画面の「パスワードをお忘れですか?」からパスワードリセットを試みます。
登録メールアドレスが乗っ取られていなければ、メール経由で新しいパスワードを設定可能です。
パスワードリセットができない場合(管理者アカウントが削除・変更された場合)は、phpMyAdminやデータベースを利用して管理者アカウントを復旧します。しかし、専門知識が必要になるため、初心者にはおすすめできません。
phpMyAdminを利用した復旧の手順は、以下のとおりです。
- phpMyAdminにログイン
- 該当するWordPress用のデータベースを選択
- SQLタブで以下のコードを実行
-- wp_users テーブルにユーザーを追加する
INSERT INTO wp_users (user_login, user_pass, user_nicename, user_email, user_url, user_registered, user_status, display_name)
VALUES ('newadmin', MD5('password123'), 'newadmin', 'admin@example.com', '', NOW(), 0, 'newadmin');
-- 追加したユーザーのIDを取得する
SET @user_id = LAST_INSERT_ID();
-- wp_usermetaに管理者権限を付与する
INSERT INTO wp_usermeta (user_id, meta_key, meta_value)
VALUES
(@user_id, 'wp_capabilities', 'a:1:{s:13:"administrator";b:1;}'),
(@user_id, 'wp_user_level', '10');
完了後は、WordPressにログインできるか試してください。
phpMyAdminを利用した復旧方法は、データベースにおける一定以上の知識と経験が必要です。扱いが困難な場合は、無理をせず復旧を専門とする業者への依頼を検討しましょう。
サイト全体のスキャン
パスワードをしたら、サイトにマルウェアや不正なコードが埋め込まれていないかスキャンしましょう。セキュリティプラグインやスキャンサイトを利用すれば、現状のリサーチと対策が同時にできます。
おすすめは、オンライン上でマルウェアスキャンができる「Sucuri SiteCheck」です。
URLを入力し「Scan Website」をクリックすると
マルウェアとセキュリティの現状、サイトのブラックリストステータス、強化すべき項目の提案などが表示されます。
スキャンで見つかった不審なファイルは、次のステップで削除するための重要な情報となるはずです。
バックアップをとる
WordPressを乗っ取りから復旧するには、サイト全体のバックアップを取るべきです。
復旧作業中に誤って必要なファイルを削除してしまったり、問題が解決しなかったりした場合、バックアップがないと取り返しがつかない可能性があります。
バックアップにはプラグイン「BackWPup」がおすすめです。
手動に設定すれば、すぐにWordPress全体のバックアップを実行できます。使い方の詳細は、以下の記事をご覧ください。
WordPressを活用しているなら、必ずバックアップは取っておいた方がいいです。というのも筆者が執筆中に下記のように文字化けしてしまうことがありました。 特に変わった動作をしたわけでもなく、突如文字が置き変わりました。他のスタッフも確認できたので、私の環境による問題ではない上に、見事...
また、復旧後のサイトが安全だと確認するためにも、定期的なバックアップは欠かせません。BackWPupには自動バックアップ機能がついているため、有効活用しましょう。
怪しいコードやデータの削除
バックアップが完了したら、スキャンで見つかった怪しいコードやデータを削除します。WordPressのコアファイル、テーマファイル、プラグインファイル、データベースなど、改ざんされた場所をすべて確認しましょう。
ファイルは「ファイルマネージャー」を使って検索し、該当するものを削除します。
エックスサーバーの場合、ユーザーアカウントにログイン後、管理画面の「ファイル管理」をクリックします。
ファイルマネージャーが立ち上がるので、赤枠部分に場所やコマンドなど入力し、削除すべきファイルの特定に進みます。
すでに場所を特定できている場合は、そのアドレスを入力。新たに発見する場合は、以下のコマンドが有効です。
grep -irl "特定の文字列" *
find . -mtime -3 -ls
find /home/yourdirectory/yoursite/ -mtime -3 -ls
これらを入力すると、該当するファイルが表示されるため、特定がしやすくなります。
自力での発見が困難な場合は、プロに依頼しましょう。
操作や手順を間違えると、かえって復旧が困難になるケースもあります。確実性を重視するなら、コストはかかるものの専門業者への依頼が最適です。
不審なユーザーアカウントの削除
攻撃者は自身のアクセス経路を確保するために、WordPressに新たな管理者権限を持つユーザーアカウントを作成している場合があります。
乗っ取りの疑いがある場合は、管理画面にログインし、登録されているユーザーリストを確認しましょう。
身に覚えのないユーザーアカウントがあれば、削除してください。
これにより、攻撃者がサイトにログインする手段を断てます。
WordPressで乗っ取りに遭わないための対策
WordPressで乗っ取りに遭わないための対策は、以下のとおりです。
- WordPressを最新の状態に保つ
- 不要なテーマ・プラグインは削除/li>
- セキュリティの高いプラグインのみを使用
- 二段階認証の導入
- ログインページの複雑化
- セキュリティプラグインの導入
それぞれ詳しく解説します。
WordPressを最新の状態に保つ
WordPressサイトを乗っ取りから守るための基本的は、WordPress本体、テーマ、プラグインを最新の状態に保つことです。
開発元は脆弱性が発見されるたびに、修正パッチをリリースします。これらのアップデートを速やかに適用すれば、問題を解消できるため、攻撃者の侵入を防げます。
自動アップデート機能を有効にするか、定期的に手動で更新する習慣を身につけましょう。
不要なテーマ・プラグインは削除
WordPressサイトにインストールされた未使用のテーマやプラグインは、セキュリティ上のリスクとなる可能性があります。
古いバージョンだったり、開発が停止していたりする場合、修正されていない脆弱性が存在するかもしれません。
不要なテーマやプラグインは、サイトのパフォーマンスを低下させるだけでなく、攻撃者の侵入経路となる可能性があります。そのため、定期的に見直すよう心がけ、必要のないものは削除してください。
セキュリティの高いプラグインのみを使用
WordPressに導入するプラグインを選ぶ際は、セキュリティが高く信頼できるものを使用しましょう。
プラグインは、WordPressの機能を拡張する上で便利です。しかし、開発元の信頼性やコミュニティでの評価、定期的なアップデートの有無などを確認する必要があります。
公式ページでユーザーレビューや最終更新日をチェックし、脆弱性が報告されていないか確認する癖をつけましょう。
二段階認証の導入
二段階認証は、WordPressサイトへの不正ログインを防ぐ上で有効です。パスワードだけでなく、スマートフォンアプリの認証コードや生体認証など、もうひとつの認証要素を追加できます。
以下のプラグインをインストールすれば、簡単に導入が可能です。
二段階認証を設定すれば、パスワードが漏洩しても不正ログインを防げます。
管理者アカウントに使用すると、セキュリティレベルが格段に向上するため、乗っ取りのリスクを大幅に低減できるでしょう。
Googleのサービスを使っていると2段階認証を求められることがありますよね。 よくあるのがスマホに認証コードが送られて、そのコードを入力しないとログインできないというセキュリティです。通常のログイン情報に加えて、ワンタイムパスワード(毎回変わる認証コード)を入力しなければならないため、不審な...
ログインページURLの複雑化
WordPressのデフォルトのログインページURLは「/wp-admin」や「/wp-login.php」など、広く知られているものばかりです。そのため、攻撃者はこれらを狙って総当たり攻撃を仕掛けてきます。
しかし、ログインページURLを複雑な文字列に変更すれば、不正アクセス試行を減らせます。
以下のプラグインをインストールすれば、簡単に変更が可能です。
ログインページのURLを複雑化し、攻撃を初期段階で防ぎましょう。
セキュリティプラグインの導入
WordPressサイトのセキュリティを強化するには、信頼できるセキュリティプラグインの導入が有効です。
セキュリティプラグインをインストールすれば、さまざまな機能が得られます。
- 不正ログインの監視
- マルウェアスキャン
- ファイアウォール機能
- ログイン試行回数制限
特におすすめなのは「Wordfence」です。
専門知識がなくても多角的なセキュリティ対策を講じられるため、インストールしておけば数多くのリスクを回避できます。WordPressサイトの防御力を高めるためにも、ぜひ導入を検討してください。
セキュリティが弱いと言われるWordPressサイトですが、少しの工夫で対策できます。 複雑なパスワードでログイン情報を保護したり、セキュリティプラグインを導入するなど。対策方法はさまざまです。 今回は、中でも人気のセキュリティプラグイン「Wordfence Security」を...
WordPressの乗っ取りを
自力で復旧・対策できない場合はプロに依頼しよう
WordPressサイトが乗っ取られると、復旧作業に専門知識と経験が必要になる場合があります。特に、マルウェアが深く埋め込まれていたり、データベースが複雑に改ざんされていたりするケースでは、自力での解決は困難をきわめるでしょう。
誤った操作は事態を悪化させるほか、データ消失を招く可能性があります。
WordPressのセキュリティは常に進化しており、最新の脅威に対応するには専門家のアドバイスが欠かせません。
自力での復旧や対策に不安を感じる場合は、躊躇せずにWordPressのセキュリティ対策を専門とするプロに依頼しましょう。専門家なら迅速かつ確実にサイトを復旧させ、再発防止のための強固なセキュリティ対策を講じてくれるはずです。
コストはかかりますが、安心して運営を再開できるだけでなく、将来的なリスクも低減できます。
コメント